2 votes

Katt avatar

Prévenir les conflits d'adresses IP sur un réseau hétérogène composé de PC et de systèmes embarqués dans un environnement de vente au détail

Demandé el 27 de Janvier, 2016
Quand la question a-t-elle été
732 affichage
Nombre de visites la question a
1 Réponses
Nombre de réponses aux questions
Ouvert
Situation réelle de la question

Dans notre environnement LAN (avec ou sans fil), les conflits d'adresses IP entraînent presque toujours une panne de nos systèmes.

Nous avons beaucoup d'équipements connectés au réseau : PC, points d'accès, RF, balances, machines POS. Chaque équipement a sa propre plage d'adresses IP définies. Cependant, les adresses IP sont attribuées de manière statique. Les fournisseurs externes configurent leurs équipements respectifs hors ligne. C'est souvent le cas lorsque les machines sont connectées au réseau.

Nous savons déjà comment résoudre le conflit. Ce que je voudrais savoir maintenant, c'est comment bloquer ou empêcher l'introduction ou la connexion d'une machine ou d'un équipement sur notre réseau avec une adresse IP qui est en conflit avec les adresses IP existantes et utilisées.

J'envisage d'exécuter LookAtLan sur une tâche programmée, par exemple à 2 heures du matin tous les jours, afin d'obtenir une nouvelle liste de toutes les adresses IP et Mac utilisées, puis de créer un programme qui exécutera automatiquement la validation (de l'IP) lors de la détection de toute nouvelle entrée sur le réseau via les ports du commutateur (pour les connexions filaires uniquement - je n'ai rien pour les connexions sans fil).

Une fois qu'une nouvelle entrée a été validée en conflit avec l'existant, QUOI ET COMMENT EMPÊCHER L'ENTRÉE est mon PROBLÈME PRINCIPAL.

Je ne sais pas si mes projets sont réalisables et possibles. Merci de m'aider.

Demandé el 27 de Janvier, 2016 par Katt

Réponse

Trop de publicités?

0voto

Vojtěch Dohnal avatar
Vojtěch Dohnal Points 3461

Comme il semble que vous utilisiez l'IPv4, les conflits de réseau de l'adresse IP statique peuvent être trouvés par ARP gratuit . Le problème est que cette détection ne fonctionne que après le conflit .

Vous pouvez cependant minimiser l'impact du conflit d'adresses IP en utilisant les fonctions de sécurité de certains commutateurs, telles que Inspection ARP dynamique de Cisco comme suggéré dans cette réponse .

Le DAI est une fonction de sécurité qui valide les paquets ARP dans un réseau. DAI intercepte, enregistre et rejette les paquets ARP dont les liens entre les adresses IP et MAC ne sont pas valides. non valides. Cette fonction protège le réseau contre les attaques de attaques de type "man-in-the-middle".

En résumé en IPv4, il n'est pas possible d'empêcher les conflits d'adresses IP statiques (non attribuées par DHCP) et il faut s'efforcer de minimiser l'impact d'un conflit éventuel sur le système Ce résultat peut être obtenu en utilisant un matériel et une configuration de réseau adéquats.

Si vous utilisiez IPv6, vous bénéficieriez des avantages suivants Détection optimisée des adresses en double (DAD) pour IPv6 .

Avec l'ARP gratuit d'IPv4, l'adresse de protocole source et l'adresse cible (Target) sont indiquées dans l'ARP. dans l'en-tête du message de requête ARP sont réglés sur l'adresse de protocole l'adresse IPv4 pour laquelle la duplication est détectée. Dans l'ARP gratuit IPv6, le champ Target Address du message Neighbor Solicitation (NS) est défini sur l'adresse IPv4 pour laquelle la duplication est détectée. est défini sur l'adresse IPv6 pour laquelle la duplication est détectée. DAD diffère de la résolution d'adresses sur les points suivants :

  • Dans le message DAD NS, le champ Source Address de l'en-tête IPv6 est défini sur l'adresse non spécifiée (: :). T l'adresse demandée ne peut pas être utilisée tant qu'il n'a pas été déterminé qu'il n'y a pas de doublons. de doublons.
  • Dans la réponse de l'annonce de voisinage (NA) à un message DAD NS, l'adresse de destination dans l'en-tête IPv6 est réglée sur l'adresse locale de liaison (link-local). l'adresse de multidiffusion tous nœuds (FF02::1). L'indicateur Solicited dans le message NA est mis à 0. Comme l'expéditeur du message DAD NS n'utilise pas l'adresse IP souhaitée, il ne peut pas utiliser l'adresse IP. l'adresse IP souhaitée, il ne peut pas recevoir de messages NA unicast. Par conséquent, le message NA est multidiffusé.
  • Dès réception du message NA multicast dont le champ Target Address contient l'adresse IP pour laquelle la duplication est détectée, le nœud désactive l'utilisation de l'adresse IP dupliquée sur le serveur interface . Si le nœud ne reçoit pas de message NA défendant l'utilisation de la l'utilisation de l'adresse, il initialise l'adresse sur l'interface.

Ainsi, dans IPv6, le conflit est détecté avant qu'il ne se produise et l'adresse IP en double ne peut être utilisée tant qu'il n'a pas été déterminé qu'il n'y a pas de doublons.

Répondu el 27 de Janvier, 2016 par Vojtěch Dohnal (3461 Points )

Questions en vedette

Top Tags

Dans notre réseau

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X